앞으로 금융기관도 클라우드를 활용할 수 있도록 규제가 개선된다. 또한 금융소비자를 보호하기 위한 제도 강화 방안도 마련된다.
금융위원회는 30일 ‘전자금융감독규정 일부 개정 규정안’을 변경예고하고, 금융기관의 클라우드 이용 활성화에 나섰다. 금융위에 따르면 중요정보 처리시스템을 제외한 모든 시스템은 클라우드 이용이 가능하며, 클라우드 이용 시스템에 대해 물리적 망분리 등 규정 예외를 적용하게 된다.
현재 금융사의 모든 시스템은 정보와 업무의 중요성과 관계 없이 모든 시스템을 물리적으로 망분리 해야 하는 등 높은 수준이 보안 규제를 적용하고 있었다. 이 때문에 상품개발, 리스크관리, 경영지원 등 고객정보를 처리하지 않는 시스템의 클라우드 이용도 제한됐다.
변경된 규정에서는 개인신용정보 등 고객정보 처리시스템을 제외한 전산시스템에 대해서는 금융회사가 자율적으로 클라우드를 이용할 수 있도록 했으며, 망분리 예외 분야를 적용해 규제를 완화했다. 금융보안원은 금융사의 안전한 클라우드 이용을 지원하기 위해 클라우드 활용과 관련 보안대책 적용 예시 등을 담은 금융보안원 가이드라인을 배포할 예정이다.
고객 정보 저장하는 PG사 책임 강화
한편 바뀐 규정에서는 전자금융업 관련 제도를 개선해 금융기관의 고객정보 보호 규정을 강화했다.
◆카드정보저장 전자금융업자의 책임보험 금액 기준 상향: 전자금융업 관련 제도를 개선해 카드정보를 저장하는 전자금융업자의 책임보험 금액 기준을 상향조정했다. 현재 간편결제 서비스 제공 등을 위해 고객의 신용카드 등의 정보를 저장하는 PG업자에게도 일반 PG업자와 동일한 금액(1억원)의 보험 가입 또는 준비금 적립 기준 적용하고 있다.
그러나 카드정보저장 PG업자의 경우 실질적으로 거래 승인 기능을 수행하고 거래에 대한 책임도 부담하는 등 일반 PG업자에 비해 전자금융사고 발생 시 보상 책임 범위가 크다는 점을 감안, 개선된 규정에서는 피해자에게 적절한 수준의 보상이 이뤄 질 수 있도록 보험 가입 또는 준비금 적립 금액 기준을 10억원으로 상향조정했다. 카드사의 보험 가입 또는 준비금 적립 최소금액도 10억원으로 올렸다 .
◆금융사고 피해보상을 위한 준비금의 지급절차 마련 의무화: 금융사고 피해보상을 위한 준비금의 지급절차 마련을 의무화해 금융사가 사고시 피해자 구제에 적극 나설 수 있도록 했다.
현재도 전자금융사고 발생 시 피해보상을 위해 금융회사 등의 보험가입 또는 준비금 적립을 의무화하고 있다. 그러나 외부보험사가 지급하는 보험과는 달리, 준비금을 자체적으로 관리·지급하기 때문에 신속한 보상이 이뤄지지 못할 것이라는 지적이 있다.
개선된 규정에서는 피해보상이 신속하게 이뤄 질 수 있도록, 준비금을 적립하는 금융회사의 준비금 관리․지급 관련 절차 마련을 의무화했다.
◆전자금융업자 안전자산 유지의무 기준 개선: 현재 PG업자 등에 대해 총자산 대비 안전자산을 10% 이상 보유하도록 규정해, 통신사 등 전체 사업규모 대비 전자금융업 영업 비중이 낮은 겸영 PG업자에게 과도한 규제로 작용한다는 지적이 있다.
개선된 규정에서는 규율 취지가 가맹점에 대한 미정산 잔액의 안정적 지급임을 고려, 안전자산 유지 기준을 ‘총자산대비 10%의 안전자산 보유’ 또는 ‘미정산 잔액 대비 100%의 안전자산 보유’로 개선했다.
금융보안원 역할 명확히 규정
이번 개선안에서는 금융보안원의 ‘침해사고 대응기관’ 역할을 명확히 하는 내용도 포함됐다.
◆금융권 통합보안관제 센터 운영 근거 명확화: 침해사고 대응기관(금보원)에서 금융권 보안성 확보를 위해 금융권 통합보안관제 업무를 수행중이다. 이는 사이버 공격 시도를 실시간으로 탐지․분석하고 이를 전체 금융회사에 공유하여 사이버 공격을 사전 차단하는 체계를 말한다.
그러나 현행 규정 상 침해사고대응기관의 업무에는 포함되지 않아 관제업무의 안정적 수행을 위한 법령상 근거가 미흡하다는 한계가 있었다. 개선된 규정에서는 침해사고대응기관의 업무에 금융권 통합보안관제 센터 운영을 추가해 안정적인 관제업무 수행 근거를 마련했다.
◆금융회사 사용 소프트웨어 취약점 조사·분석 근거 마련: 최근 보안회사의 코드서명 인증서 유출 사고나 솔루션 취약점 이용 해킹사고 등 보안 소프트웨어 취약점을 이용한 보안업체 대상 해킹사고와 이를 이용한 금융권 침해시도가 발생하고 있다.
금융보안원이 이러한 침해시도를 사전에 탐지·차단할 수 있도록 금융회사 보안 소프트웨어 취약점 조사·분석을 수행할 수 있는 근거 마련이 필요다.
금융보안원은 코드서명 인증서 유출 사고가 발생했을 때 사실을 최초 발견하고 해당 회사 통보 등 초동조치를 수행했으나, 소프트웨어에 대한 조사·분석을 위한 근거 규정이 없어 소프트웨어 취약점을 이용한 침해시도를 선제적으로 대응하는데 어려움을 겪었다.
개선된 규정에서는 침해사고대응기관(금보원)이 금융회사가 사용중인 소프트웨어를 조사·분석할 수 있는 근거를 마련해 사고 발견시해당 회사에 통보하는 등 초동 조치를 취할 수 있다. 또한 금융권에서 사용중인 소프트웨어를 조사·분석해 사고로 이어질 수 있는 취약점을 사전에 발견·대응하는 등 소프트웨어 취약점을 사용한 침해시도의 선제적 대응이 가능해진다.
이번 규정은 8월 9일까지 40일간 예고기간을 거친 후 규제심사를 거쳐 9월 금융위에서 의결될 계획이다.
